2017년 11월호

4차 산업혁명과 미래

피싱 하는 인공지능 피싱 잡는 인공지능

사이버 전쟁과 AI

  • 유성민 IT칼럼니스트|dracon123@naver.com

    입력2017-11-05 09:00:01

  • 글자크기 설정 닫기
    • 인간 대 인공지능의 대결은 4차 산업혁명 시대 중요 화두다. 그런데 사이버 전쟁에서만큼은 인간을 배제한 인공지능의 독주가 펼쳐질 전망이다. 말도 안 된다고? 사이버 세계는 100% ‘코드’로만 구성돼 있다. 현실 세계보다 단순하다.
    올해 랜섬웨어(Ransomware)로 여러 나라가 큰 피해를 보았다. 랜섬웨어란 납치·유괴된 사람에 대해 요구하는 몸값(ransom)과 소프트웨어(software)의 합성어로, 바이러스로 PC를 공격해 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 한 뒤 이를 빌미로 돈을 요구하는 악성 프로그램을 말한다.

    지난 5월 랜섬웨어 워너크라이(Wannacry)는 150개국 30만 대의 기기를 공격해 피해를 주었다. 6월에도 페티야((Petya)라는 랜섬웨어로 인해 우크라이나 원자력발전소, 러시아 중앙은행 등 국가 주요 기관이 상당한 피해를 당했다. 사이버 공격이 개인을 넘어 국가에도 큰 재앙이 될 수 있는 것이다. 지난해 12월 북대서양조약기구(NATO)는 사이버 공격을 ‘새로운 전쟁’으로 공식화했다.

    북한은 사이버 공격의 중요성을 일찍이 깨달았다. 사이버 전사(戰士) 양성을 목적으로 인재를 선발, 11년제 사이버 전쟁 교육을 받도록 한다. 이렇게 양성된 사이버 전문 인력 규모는 현재 5900여 명으로 추산된다. 북한은 언제든지 사이버 전쟁을 벌일 준비를 마친 셈이다.

    사이버 공격의 영향력은 앞으로 더욱 더 커질 것이다. 사물인터넷(IoT)으로 거의 모든 기기가 네트워크로 연결된 초연결 사회가 도래하기 때문이다. 이제 해커는 네트워크 경로를 이용해 ‘거의 모든’ 기기를 해킹할 수 있다. 사이버 공격 무기 또한 고도화된다. 특히 인공지능(Artificial Intelligence)의 활용으로 사이버 공격 방식은 더욱 더 첨단화할 전망이다.

    AI 해커, 오늘은 ‘꼴찌’지만…

    세계 최고 해킹 대회인 데프콘(DEFCON). 지난해 8월 데프콘에선 ‘메이헴’이라는 해커가 큰 주목을 받았다. 메이헴은 카네기 멜런 대학교 연구팀이 개발한 AI 기반 해킹 프로그램의 이름이다. 메이헴은 미국 방위고등연구계획국(DAPRA)이 주최한 ‘사이버그랜드챌린지(CGC)’라는 AI 시스템 간 해킹대회에서 6개 경쟁자를 제치고 우승한 주인공으로, ‘AI 해커’ 대표 자격으로 데프콘에 참가했다.



    아쉽게도(?) 메이헴은 15개 팀 가운데 14위로 가까스로 꼴찌를 면했다. 인간 해커를 이기기에는 아직 역부족이다. 그러나 이번 대회를 통해 AI가 스스로 시스템 취약점을 찾아 공격할 수 있음을, 그리하여 차후 해커로 진화할 수 있음을 보여주는 데는 무리가 없었다.

    지난해 7월 열린 세계 최대 보안 행사 블랙햇(Black Hat)에서도 ‘AI 해킹’은 큰 관심을 끌었다. 소셜미디어 위기관리 전문업체 제로폭스(ZeroFOX)는 콘퍼런스에서 ‘SNAP_R’을 선보였다. 이는 AI 기반으로 스피어 피싱(Spear Phishing)을 자동으로 하도록 만든 프로그램이다. 스피어 피싱이란 특정 개인이나 회사를 상대로 사이버 사기를 벌이는 것을 말한다. 공격자는 공격 성공률을 높이기 위해 공격 대상에 대한 정보를 사전에 수집, 분석해 이 정보를 실제 공격에 반영한다.

    SNAP_R은 트위터 사용자를 대상으로 한정해 스피어 피싱을 했는데, 사용자 정보를 사전에 분석해 사용자가 현혹될 만한 내용으로 댓글을 달고 악성 URL을 남겨 클릭을 유도했다. 그 결과 인간 해커보다 SNAP_R의 피싱 성공률이 높은 것으로 나타났다. AI가 사람을 대체해 사이버 공격을 주도하는 핵심으로 자리 잡을 수 있는 것이다.

    사이버 공격은 몇 가지 단계를 거친다. 먼저 목표 대상 정보를 수집하고 침투 방법을 찾는다. 침투 방법은 대개 스피어 피싱이다. 이란 원자력발전소 해킹, 한국의 농협 시스템 대란 및 한국수력원자력의 내부 문건 유출 등이 이에 해당한다. 침투 후에는 래트럴 무브먼트(Lateral Movement)가 진행된다. 래트럴 무브먼트란 ‘감염 확산 공격’, 즉 주요 시스템에 도달하기 위해 주변 시스템을 공격해 감염을 확대하는 것을 말한다. 이렇게 주요 시스템을 장악한 다음 공격자는 시기에 맞춰 사이버 공격을 감행한다.

    IBM 왓슨도 사이버 ‘보안관’

    최근 해킹대회 등 사이버 보안 관련 행사에서는 인공지능 기술이 크게 주목받고 있다.

    최근 해킹대회 등 사이버 보안 관련 행사에서는 인공지능 기술이 크게 주목받고 있다.

    이 중에서 가장 중요한 단계는 첫 단계, 즉 ‘대상 정보 파악과 침투’다. 각 기관의 사이버 보안 시스템 체계는 겉은 단단하고 속은 부드러운 수박에 비유할 수 있다. 시스템 외곽은 사이버 공격에 견고하지만, 그 내부는 상당히 취약하다. 그러므로 사이버 공격의 성공 여부는 첫 단계에서 좌우된다. 스피어 피싱이 성공하면 사이버 공격에 거의 성공한 것이나 다름없다.

    현재 AI는 스스로 시스템의 취약점을 찾아낼 뿐만 아니라 스피어 피싱까지 해낼 수 있는 수준에 와 있다. 이제는 AI가 단독으로 사이버 공격을 실행할 수 있음을 의미한다. 가까운 미래에는 AI가 모든 사이버 공격을 맡아서 진행할지도 모른다.

    그러나 창이 있으면 방패가 있는 법. 사이버 보안 쪽도 AI를 활용하기 시작했다.

    사이버 보안은 크게 세 단계로 나뉜다. 먼저 사전 단계로 사이버 공격을 예측하는 것이고, 그다음 탐지 단계는 악성코드 유무를 탐지하는 것이다. 마지막 사후 단계는 사이버 공격이 발생했을 때 피해를 최소화하는 것이다. AI는 사전·탐지·사후 단계 모두에 사용된다.

    우선 사전 단계에서 AI 역할을 살펴보자. 사이버 공격이 개시되면 몇 가지 징후가 포착된다. 가령 네트워크 용량이 갑자기 증가한다든지 적대 국가의 IP 주소에서 e메일이 발송된다든지 하는 것이다. AI는 이러한 이상 징후를 포착하고 사이버 공격인지 아닌지를 판별한다. 사용자행위분석(UBA·User Behavior Analysis)과 네트워크행동분석(NBA·Network Behavior Analysis)이 이러한 부류에 해당한다.

    UBA와 NBA는 기계학습 방식으로 정상적 행위와 비정상적 행위를 학습하고 이를 판별한다. 그간 당해온 사이버 공격 행위 데이터를 비정상적 행위로 학습한다. 따라서 악성코드를 검사하기 전에 사이버 공격 행위 여부를 탐지해 시스템을 보호한다.

    탐지 단계에서는 AI 활용으로 탐지 능력을 더욱 강화할 수 있다. 악성코드 탐지 방법은 보통 두 가지로 나뉜다. 첫 번째 정적 분석이다. 악성코드는 말 그대로 ‘악성 행위를 수행하게끔 하는 코드(명령어)’다. 정적 분석은 악성코드 존재 여부만 판별한다. 특정 시스템 및 파일에 악성코드가 있으면 정적 분석 기반의 보안 시스템은 이를 찾아낸다.

    정적 분석은 악성코드 정보를 모으는 것으로 시작한다. 그다음 보유한 악성코드 데이터베이스를 기반으로 악성 공격 여부를 판별한다. 따라서 데이터베이스에 없는 새로운 악성코드가 침투하면 이를 탐지하지 못한다는 단점이 있다. 물론 이를 보완해 악성코드 정보에서 나타나는 특징을 기반으로 사이버 공격 여부를 탐지하는 기술도 있다. 이를 시그니처(Signature) 기반 탐지라고 한다.

    그러나 보안 전문회사 맥아피(McAfee)에 따르면 시그니처 기반 탐지는 별로 효과가 없다. 완전히 새로운 악성코드 침투는 정적 분석으로 탐지할 수 없는데, 시그너처 기반의 탐지 역시 기존 악성코드 정보에 국한해 추출된 데이터베이스를 바탕으로 하기 때문이다.

    그래서 ‘동적 분석’이 필요하다. 동적 분석은 해당 코드를 실행할 경우 나타나는 증상을 보고 악성코드 여부를 판별하는 것이다. 보안 관리자가 랜섬웨어를 동적 분석 방법으로 분석한다고 가정해보자. 랜섬웨어 의심 코드를 분석용 시스템에 실행할 때 랜섬웨어 증상인 파일 잠금이 동작하면, 보안 관리자는 해당 코드를 랜섬웨어용 악성코드로 결론을 내린다.

    정적 분석은 ‘대조’만 하면 되므로 보안 시스템을 자동으로 설정할 수 있다. 그러나 동적 분석은 각각의 파일을 실행해 그 결과를 일일이 확인해야 한다. 복잡한 작업이라서 대개 보안 관리자가 직접 수행한다.

    그런데 최근 동적 분석을 자동으로 처리해주는 시스템이 늘고 있다. 이 역시 AI를 활용한 것이다. AI가 악성 공격 실행 시 나타나는 증상을 학습하고, 자동으로 동적 분석을 수행해 전에 없던 새로운 악성코드를 찾아낸다. 시스코(CISCO)가 개발한 AMP(Advanced Malware Protection)가 이러한 기술의 대표 사례다. AMP는 약 700개의 행위 요인을 기반으로 새로운 악성코드 유형을 탐지한다. 악성코드 행위 판별은 물론 기계학습 기반으로 이뤄진다. 보안업체 사일런스(Cylance)가 제공하는 악성코드 탐지 프로그램은 동적 분석만 하는데, 그 정확도가 95%를 넘는 것으로 알려진다. 이외에도 수많은 보안 회사에서 동적 분석에 AI를 적용해 악성코드 탐지 능력을 강화하고 있다.

    마지막으로 AI 적용으로 사후 대응 속도를 높일 수 있다. 이는 2차 사이버 공격을 차단함으로써 피해를 최소화할 수 있게 한다. 사이버 공격이 발생했을 때 이를 사람이 분석하면 시간이 매우 오래 걸린다. 거의 모든 소스를 일일이 살펴봐야 하기 때문이다. 이 일을 AI가 하면 분석 시간을 상당히 단축할 수 있다. 연산 처리 능력이 사람보다 수백 배 이상 빠르기 때문이다. 더구나 AI가 사이버 공격의 흐름까지 분석해준다면, 사이버 보안 관리자는 사이버 공격 현황을 쉽게 파악할 수 있다. 이를 ‘전후사정(Context)’ 혹은 ‘능동형 지능(Actionable Intelligence)’이라고 표현한다.

    IBM에서 개발한 큐레이더(Q radar)가 AI를 사후 대응에 적용한 대표 사례로 볼 수 있다. 지난 2월 IBM은 큐레이더를 더 강화한 ‘IBM 큐레이더 왓슨 어드바이저’를 선보였다. 큐레이더에 IBM이 개발한 최첨단 AI 기술인 왓슨(Watson)을 적용한 버전이다.

    AI가 사이버 국방력의 ‘지표’

    물론 현재로서는 AI가 사이버 공격과 방어를 완벽하게 감당할 수 있는 건 아니다. 때로는 인간과 AI가 협업하고, 때로는 AI가 인간을 지원하는 역할을 맡는다. 그러나 가까운 미래에는 인간은 ‘배제’되고 AI가 단독으로 사이버 공격과 방어를 맡을 것으로 보인다.

    이러한 전망은 전혀 비현실적인 것이 아니다. 인간의 일상 세계와 달리 사이버 세계는 코드로 이뤄져 있다. 현실처럼 오감(五感)이 필요하지 않고, 또 복잡하지도 않다. 사이버 전쟁의 승패는 각 국가의 AI 수준에 달렸다. 이제는 AI가 사이버 국방력을 평가하는 지표가 된다.



    댓글 0
    닫기

    매거진동아

    • youtube
    • youtube
    • youtube

    에디터 추천기사